NTT東日本

企業情報


ホーム > 企業情報 > CSR活動 > 4つのCSRテーマについて > 安心・安全なコミュニケーション > 情報セキュリティの確保


情報セキュリティの確保

Theme1 安心・安全なコミュニケーション 毎日の安心を信頼でつなぐ使命 私たちは、情報通信に関する社会的な課題に真摯に取り組み、安心・安全な利用環境と、災害時にも強いネットワークを構築し、安心と信頼を提供します。

基本姿勢および今期の成果と来期に向けた取り組み

基本姿勢

常に安心・安全なサービスを提供し、ステークホルダーの皆さまから信頼される企業であり続けるために、お客さま情報をはじめとした各種情報の適切な取り扱いに向けたルール整備、セキュリティ対策や社員の教育・啓発等の充実に努め、技術の進歩や世の中の動向に即した適正な情報の管理徹底を図っています。

今期の成果と来期に向けた取り組み

NTT東日本
情報セキュリティ推進部
担当部長
岸 高宏

NTT東日本グループでは、お客さま情報等のセキュリティの徹底・強化を図るため、主要子会社・委託先会社を含めたグループ横断的・統一的な情報セキュリティの推進体制を構築しています。この体制の下、「情報セキュリティ基本規程」に基づき、点検・監査の実施や各種研修による社員の知識向上・意識醸成、セキュリティゾーンの構築をはじめとした技術的・物理的対策の強化等により、情報セキュリティの確保に努めてきました。

2018年度は、BtoBtoXをはじめとするビジネスモデルの台頭を背景に、当社もビジネスパートナーとの連携をよりいっそう進めていきます。これらを踏まえ、取り扱う多様な情報について、利用目的に応じた取り扱いと管理の徹底を図り、より高いレベルでのセキュリティ確保等に向けた取り組みを推進していきます。

KPI関連

情報セキュリティ関連研修を全対象者が受講(約5.2万名:100%実施)

情報セキュリティ監査を全対象組織に対して実施(47組織:100%実施)

セキュリティレベル底上げに向けたセキュリティ人材の創出(延べ約5,500人〔2018年3月末現在〕)

NTT東日本グループにおける情報セキュリティマネジメント

情報セキュリティ推進体制

NTT東日本では、お客さま情報をはじめとした各種情報の保護・管理、適正な取り扱い等のさらなる徹底・強化を図り、グループ横断的かつ統一的に情報セキュリティ対策を推進する専門組織として「情報セキュリティ推進部」を置するとともに、主要なグループ会社においても「情報セキュリティ担当」を設置し、グループ全体での情報セキュリティ推進体制を構築しています。

また、社内委員会として、「情報セキュリティ推進委員会」を設置し、情報セキュリティに関する基本方針等の審議や、各種対策等の検討・推進を行っています。

さらに、情報セキュリティ推進部に専担の監査担当を設置し、本社、事業部、支店、グループ会社、主要な委託先会社におけるお客さま情報等の取り扱いルールの遵守状況等を定期的に点検・監査しています。これらの取り組みを通じて、セキュリティ対策の有効性を評価し、必要に応じてルールや施策の改善・見直しにつなげています。

NTT東日本におけるマネジメント

適正な情報の取り扱い

NTT東日本グループでは、情報セキュリティに対する社会的要請を十分に認識し、お客さま情報をはじめとした各種情報について厳格かつ適正に取り扱うことが、電気通信事業者としての重要な責務であるとの認識の下、NTTグループの「情報セキュリティポリシー」に基づき、情報セキュリティの強化に努めています。

2011年11月には公正競争の促進等を目的に電気通信事業法が改正され、その中で他事業者との接続に関連する情報について厳正な管理が求められています。NTT東日本グループでは、接続関連情報を適正に管理するための体制を整備し、従来からの取り組みをさらに充実させています。

情報セキュリティに係る社内規程の体系

安心・安全な情報セキュリティ環境の構築

システム等による技術的セキュリティ対策

メールの誤送信防止システムのイメージ

お客さま情報等を保有する重要なシステムの運用にあたっては、業務目的によって細分化されたアクセス権限の設定や操作ログの記録・保存等により、情報の不適正な利用の防止を図っています。

また、お客さま情報等を誤って社外へ流出することを防止するため、メールを送信する際に送信ボタンを押すと「送信先」「メール本文の内容」「添付ファイルの内容」に誤りがないかを自ら確認する機能や、社外宛のメールにファイルを添付して送信する場合は添付ファイルが自動的に暗号化されるとともに、管理者の承認を必要とするしくみを導入しています。

その他情報セキュリティ対策として、ファクス誤送信防止機能の付加や指紋認証機能付きUSBメモリの導入等、リスク低減した情報の受け渡し方法等の各種対策を実施しています。

セキュリティゾーンの構築による物理的セキュリティ対策

事務室の入退室管理のイメージ
(生体認証装置による入退室規制と監視カメラによる作業状況の監視の例)

お客さま情報等を日常的に取り扱う事務室においては、取り扱う情報の内容に応じてカメラの設置や生体認証装置による入退室規制等を実施するセキュリティゾーンを構築し、厳格に情報を取り扱うよう規制しています。

さらに、お客さま情報等をシステムから抽出する等の業務を行う事務所においては、セキュリティゾーン内に入退室のログ管理が可能なゲートを設置し居室を分離する等、一層厳格な措置を講じています。

外部からの不正アクセス、標的型攻撃等に対する対策

標的型攻撃メール演習のイメージ

NTT東日本ではサイバーセキュリティに関する専門組織を設置し、「装備」「運用」「対処」の観点から、多層防御等の必要な対策に取り組んでいます。あわせて、危機管理体制を整備し、サイバー攻撃を想定したインシデント対応訓練にも取り組んでいます。

2017年度は、近年巧妙化している標的型攻撃メールによる被害や手口を踏まえ、擬似的な攻撃メールを発信し、実際に攻撃メールを受信した社員がセキュリティ担当者へエスカレーションする一連の流れを理解するための演習等を実施しました。

情報セキュリティに関する各種点検の実施

事業第一線の組織自らが、情報に関する取り扱いの遵守状況を毎日点検するとともに、システムへのアクセス権限付与が適正であるかを確認する点検と、アクセスログによるシステムの不適正な利用がないかを確認する点検を定期的かつ厳格に実施しています。

セキュリティ人材の育成

セキュリティ人材の役割イメージ

NTTグループでは、グループ内のセキュリティ人材育成施策として、セキュリティ人材を3つの人材タイプ(セキュリティマネジメント・コンサル、セキュリティ運用、セキュリティ開発)と3段階の人材レベル(上級、中級、初級)に大別し、役割イメージに応じた人材育成施策をグループ各社で推進しています。

NTT東日本グループにおいても、セキュリティ人材の育成が急務であると認識しており、「模擬環境でのサイバー演習」「eラーニングによるセキュリティ講座の活用や「セキュリティ専門業務での実務経験」等に取り組むことで、育成を進めています。

2018年3月末現在のセキュリティ人材の認定数は、当初予定より加速し、延べ約5,500人となっており、引き続きセキュリティ分野における業務の中核を担う中級人材のさらなる拡大に向け、より実践的な人材育成プログラムの拡充に取り組んでいきます。

社員の声:つなぐ力

NTT東日本
ネットワーク事業推進本部
ネットワークセキュリティ推進室
セキュリティ技術部門
セキュアディレクション担当 主査

山田 拓也

サイバー攻撃に立ち向かい「つながる安心」を守ります

生活に不可欠な重要インフラを狙ったサイバー攻撃が、世界各地で相次いでいます。この状況は国内通信ネットワークの根幹を担うNTT東日本にとって、他人事ではありません。

私たちネットワークセキュリティ推進室では、最新の攻撃対策技術や攻撃動向を活用することで、わずかな異変も見逃さずに、通信ネットワークを防御しています。

「つながる安心」のために、サイバー攻撃からインフラと人々を守っていきます。

情報セキュリティに関する社員一人ひとりのマインド醸成

基本動作の再確認とマインド醸成を目的とした研修・啓発の実施

情報セキュリティを確保するためには、導入した対策を一過性の取り組みで終わらせることなく、改善を繰り返しながら継続的に実践していくことが重要であり、すべての社員等が情報セキュリティの重要性を十分に認識・理解し、かつ能動的に取り組む企業風土を醸成する必要があります。

そのため、本社、事業部、支店、グループ会社の社員を対象に、eラーニングや集合形式によるお客さま情報等の取り扱いに関する各種研修を実施し、情報セキュリティに関する意識の向上に取り組んでいます。

また、情報セキュリティの重要性に対する認識を深めるさまざまな取り組みも促進しており、その一環として、2017年度は、各職場で情報セキュリティ事故防止に向けた職場ごとにディスカッションを行い、セキュリティ意識の高い職場風土の形成を図りました。

つなぐ:情報セキュリティ改善ワークショップ

情報セキュリティ改善ワークショップ

2018年1月に開催した「情報セキュリティ改善ワークショップ」では、NTT東日本グループの情報セキュリティ担当が一堂に会し、日頃取り組んできた情報セキュリティに関する改善活動や、職場風土の向上に向けた取り組みについて、発表・議論し、そのノウハウや成果を共有する等、セキュリティ意識の向上を図りました。

社員の声:つなぐ力

NTT東日本-関信越
長野支店 設備部

矢沢 浩之

「端末におけるセキュリティ対策」の取り組みについて

最近、セキュリティインシデントとして目に留まるのは、専ら、ネットワークを介したサイバー攻撃です。端末に脆弱性があれば格好な攻撃対象となり、お客さま情報が流出した場合、NTT東日本の信頼は大きく失墜してしまいます。

日頃、社内で利用している端末は自動的にバージョンアップやアップデート等が適用され、セキュリティ対策が取られていますが、社外に持出す端末は、使用者自身がセキュリティ対策を個別に実施する必要があります。実施すべき内容はマニュアル等にまとめられていますが、理解するには一定の知識が求められ、各担当者が苦労している状況にありました。

そこで今回、セキュリティ対策として実施すべき内容をだれもが簡単に理解できるように、「端末のセキュリティ対策の手順書」の作成・展開を図りました。具体的には、バージョンアップやアップデートの手順を実際の操作画面を貼り付けたり、解説を盛り込む等、ビジュアルとコメントを駆使し、時系列で追えるように作成したことで、現在も多くの社員に活用されています。

今後もセキュリティ対策の強化と業務改善の双方を意識して各種取り組みを行っていきたいと思います。

皆さまのご意見・ご感想をお聞かせください。